本菜鸟觉得想学好免杀 PE文件头、输入表、输出表的学习是必不可少的
这是我在网上看到的一篇 “PE文件头简析及输入表、输出表的分析”
作者:是 惜雪_xixuer (出于对作者的尊重)
希望大家认真学习~!
PE文件头简析及输入表、输出表的分析
1、PE文件格式
文件头
__________________________________________________________________
DOS 'MZ' HEADER | 该字段中的e_lfanew字段指向pe头
DOS stub |
-------------------------------------------------------------------
"PE",0,0 | pe文件标识 (pe文件头包含三个部分)
IMAGE_FILE_HEADER | 文件映像头
IMAGE_OPTIONAL_HEADER32 | 可选映像头
数据目录表 | //包含在可选映像头中,包含输出\入表信息
-------------------------------------------------------------------
IMAGE_SECTION_HEADER | //对应.text块
IMAGE_SECTION_HEADER |
IMAGE_SECTION_HEADER | 块表(Section Table)
IMAGE_SECTION_HEADER |
-------------------------------------------------------------------
.text |
.data |
.edata | 块(Section)
.reloc |
-------------------------------------------------------------------
COFF 行号 |
COFF 符号表 | 调试信息
Code View调试信息 |
___________________________________________________________________
文件尾
说明:
01、输入表、输出表的位置:在pe头中可选映像头字段中数据目录表字段中,相对于pe文件
标识处的偏移分别为:+80h、+78h;(其中pe文件标识的位置在DOS 'MZ' HEADER字
段中的e_lfanew指出,该字段相对于文件开始的偏移为+3Ch,4个字节);
02、在用例子说明时用c32asm打开,其中的偏移均为文件在磁盘上存储的物理偏移,而查
看的值均为给出的各个地址的RVA,转化方法入下:
查到的RVA值-VOffset(可由lordpe查看)+ROffset 得到的就是可以c32asm中的偏移
2、上面对pe文件格式做了简要介绍,下面主要分析输入表和输出表:
输入表篇:
概念不做介绍,位置上面已经给出,呵呵
输入表的结构:输入表是以一个IMAGE_IMPORT_DESCRIPTOR(IID)数组开始,一个程序
要调用几个dll就会有几个IID项,即每个IID对应于一个dll
IID结构:
IMAGE_IMPORT_DESCRIPTOR struct
union{
DWORD Characteristics ; ;00h
DWORD OriginalFirstThunk; // 注释1
};
TimeDateStamp DWORD ;04h // 时间标志,可以忽略;
ForwarderChain DWORD ;08h // 正向链接索引,一般为0,当程序引用一个dll中的api,
//而这个api又引用其它dll中的api时用;
Name DWORD ;0Ch //DLL名字的指针,以00结尾的ASCII字符的RVA地址;
FirstThunk DWORD ;10h // 注释2
IMAGE_IMPORT_DESCRIPTOR ends
注释 1:该值为一个 IMAGE_THUNK_DATA数组的RVA,其中的每个指针都指向IMAGE_IMPORT_BY_NAME结构。
( IMAGE_THUNK_DATA包含了一个指向IMAGE_IMPORT_BY_NAME结构的指针,而非该结构本身,即:
有几个IMAGE_IMPORT_BY_NAME结构,收集这些结构的RVA
(即:IMAGE_THUNK_DATA)组成一个数组,以0结尾,然后将数组的RVA(指针)放入OriginalFirstThunk);
注释2 :该值也是一个指向 IMAGE_THUNK_DATA数组的RVA地址,如果不是一个指针,则就是该功能在DLL中的序号;
注释3 :OriginalFirstThunk与FirstThunk在本质上一致,不同在于:在pe文件被pe装载器装入之前,两者一样,指向同一个数组。
当pe文件被装载器装入之后,OriginalFirstThunk还指向原来的数组(INT 输入名字表:Import Name Table),
而FirstThunk则用调用的输入函数在内存的虚拟地址来代替表中的内容,即
指向的是一张指向输入函数地址的表,称为:IAT(输入地址表:Import Address Table)
IMAGE_THUNK_DATA结构:
typedef struct IMAGE_THUNK_DATA{
union{
PBYTE ForwarderString; //当该结构双字最高位为1时,表示函数以序号方式输入,此时双字低位为函数序号
PDWORD Function; //当最高位为0时,表示函数以字符串类型的函数名方式输入,此时整个双字的值是
DWORD Ordinal; //一个RVA,指向一个MAGE_IMPORT_BY_NAME结构(如下定义)
PIMAGE_IMPORT_BY_NAME AddressOfData; //
}ul;
}
IMAGE_IMPORT_BY_NAME 结构:
MAGE_IMPORT_BY_NAME STRUCT
Hint WORD ? //指示本函数在所驻留dll中的输出表中的序号(不是必须的)
Name BYTE ? //含有输入函数的函数名,一个ASCII码字符串,以NULL结尾(可变尺寸)
MAGE_IMPORT_BY_NAME ENDS
输入表的结构如上所述,(免杀)在对输入表进行修改时(一般是iat的修改),
将函数移到其它地方,然后修改相当应的THUNK,当然并不是全都有效,
比如nod32 的定位机制是跟踪thunk对其取出的函数进行对比,这样上面不管怎么移取出来的都一样,所以失效……
输出表篇:
输出表一般存在与dll文件中,很少出现在exe文件中(也有)。主要为可执行文件修正其IAT提供信息和依据;
输出表的位置在:pe头的可选映像头中的数据目录表的第一个字段,pe+78h处;
输出表指向一个IMAGE_EXPORT_DIRECTORY (IED);
IED结构定义如下:
typedef struct IMAGE_EXPORT_DIRECTORY {
ULONG Charateristics ;未使用,总为0
ULONG TimeDateStamp ;文件生成时间
USHORT MajorVersion ;主版本号,一般为0
USHORT MinorVersion ;次版本号,一般为0
ULONG Name ;模块中的真实名称
ULONG Base ;基数,加上序数就是函数地址数组的索引值
ULONG NumberOfFunctions ;AddressOfFunction序列中的元素个数
ULONG NumberOfNames ;AddressOfNames 序列中的元素个数
PULONG*AddressOfFunctions ;指向函数地址数组
PULONG*AddressOfNames ;函数名字的指针地址
PUSHORT*AddressOfNameOndinals ;指向输出序号数组
}IMAGE_EXPORT_DIRECTORY,*PIMAGE_EXPORT_DIRECTORY
说明:
01、NumberOfFunctions和NumberOfNames一般相等;
02、NumberOfNames此值一般表示以名称输出的函数个数,通常与输出函数总数相等。若为0,表示模块仅仅通过序号引出。
03、免杀中对定位到输出表的修改比较容易,一是改函数位置和thunk,若是对nod32类型可以同时修改序号和对应的输出函数;